區塊鏈安全咨詢公司 曲速未來 表示：雖然目前網絡空間的重點是勒索軟件和密碼管理器，但還有其他流行的威脅演員默默地進入受害者的機器，以便將其用于惡意目的。在對URL的進一步分析得到了“AZORult”信息輸送器惡意軟件的新變種。此惡意軟件收集并從受害者的計算機中將數據泄露到CnC服務器。

下面的攻擊鏈描述了針對此惡意軟件觀察到的執行順序。

圖2.攻擊鏈

在分析時，初始攻擊向量未知，但攻擊鏈是從惡意URL追蹤的。研究人員懷疑最初的攻擊媒介是網絡釣魚電子郵件。

在靜態分析期間，樣本中似乎有很多Flare。‘neut.exe’文件是MS Windows的PE32可執行文件，編譯為Microsoft Visual Basic的P代碼文件。它具有各種加密字符串并包含高熵的大量資源數據。

圖3：CFF資源管理器中的巨大資源

Decompiled File具有為當前進程禁用DEP的功能，它會嘗試修改Explorer設置以防止顯示隱藏文件，并且還會在內存中加載大量資源。

圖4：反編譯文件顯示DEP策略和資源加載

在反編譯文件中遍歷更多函數時。找到了一個混淆的代碼，該代碼被傳遞給一個函數，該函數對數據進行去混淆并形成一個有效的字符串。

圖5.混淆字節

將這些十六進制值轉換為ASCII后，代碼看起來像是base64編碼的。因此，在使用base64算法解碼后，找到字符串。

遍歷的下一個函數具有XOR算法以及一些應用于整個資源數據的操作。解密例程通過下面的代碼段顯示。

圖7.用于解密資源代碼的Xor算法

在資源代碼上實現此邏輯后，找到一個PE文件。解密的PE文件是Delphi的windows文件，我們將繼續分析這個文件。

靜態檢查文件找到各種base64編碼字符串，如下圖所示。

圖8. Base64編碼的字符串

使用base64算法對字符串進行解碼，得到以下結果。這些字符串用于收集“卸載”中的“DisplayName”等系統信息。注冊表項用于標識系統中所有已安裝的軟件。“CreateToolhelp32Snapshot”用于列出所有正在運行的進程。

一些未加密的字符串也在那里。快照下面有一些字符串：

圖10.資源文件中的字符串

現在進一步分析將了解這些字符串的使用位置和方式。所以在IDA中調試文件之后。惡意軟件收集機器信息，例如“MachineGuid”，“ProductName”，“UserName”，“ComputerName”，并使用DWORD對其進行異或，然后將其連接起來，最后為特定系統創建此名稱的互斥鎖。

之后惡意軟件嘗試使用POST請求將數據發送到C＆C服務器。這就是構建該請求的方式：

1

圖11.調用HttpSendRequestA

CnC服務器響應了大量似乎被加密的數據。

圖12.來自CnC服務器的響應

在對文件進行更多調試之后，惡意軟件通過使用“InternetReadFile”api讀取內存中CnC服務器發送的數據，然后使用帶有3字節密鑰的XOR算法對其進行解密。響應緩沖區末尾的某些數據具有base64編碼的字符串。

圖13.從CnC服務器接收的加密數據

Base64編碼的字符串，描述惡意軟件試圖從受害者機器竊取的信息（用戶名，密碼，安裝的軟件，瀏覽器信息等）。

圖14.解密的響應字符串

在解密用Xor操作加密的另一個緩沖區之后，我們發現它有很多dll（~48）被轉儲到目錄：％Temp％\ 2fda“并且它還包含一些字符串。一些dll與瀏覽器插件有關。惡意軟件將這些dll加載到內存中，以及確切的瀏覽器和其他信息。

惡意軟件能夠竊取帳戶信息，瀏覽和cookie詳細信息，還可以通過調用“hxxp：//ip-api.com/json”來檢索受感染計算機的公共IP地址。

它還能夠列出系統中所有已安裝的軟件，通過調用CreateToolhelp32Snapshot，Process32first，Process32next函數列出所有正在運行的進程。它還從Electrum，MultiBit，monero-project等收集有關不同加密錢包的信息。它還收集用戶在什么時間瀏覽哪個網站的信息。

它還發送機器名稱，RAM大小和其他機器相關信息。

圖15.惡意軟件向CnC服務器發送的數據

然后使用XOR操作加密所有上述信息并將其發送回CnC服務器。然后服務器在收到完整數據后回復“OK”。

被盜數據可被廣泛用于未經授權訪問電子郵件帳戶，銀行帳戶和其他在線信息。這種被盜的個人信息可能會在精神上和經濟上損害用戶。

結論

區塊鏈安全咨詢公司 曲速未來 提醒：在勒索軟件和Cryptominers中，此類Infostealer惡意軟件是攻擊者使用的最受歡迎的攻擊媒介。所以建議用戶避免訪問可疑網站或電子郵件，并使其防病毒軟件保持最新狀態，以防止其系統被此類復雜惡意軟件感染。